Microsoft opravil kritickou chybu v komunikaci mezi Windows a databázemi

12. 1. 2011

Sdílet

Microsoft v rámci svých včerejších záplat opravil kritickou chybu ve Windows, kterou bylo možné zneužít ke spuštění kódu už při návštěvě podvodného webu.

Lednová várka záplat je poměrně skromná, Microsoft vydal pouze 2 bezpečnostní aktualizace – pro srovnání, v prosinci celkem 17 aktualizací/bulletinů zabezpečení látalo celkem 40 bezpečnostních zranitelností.

Kritická je aktualizace MS11-002, a Microsoft proto doporučuje nainstalovat nejprve právě ji. Opravuje totiž chybu, která je zneužitelná metodou drive-by download, tedy de facto umožňuje útočníkům spuštění libovolného kódu už při návštěvě podvodného webu.

Vlastní zranitelnost se týká Microsoft Data Access Component (MDAC), což je sada komponent, které řídí komunikaci mezi Windows a SQL databází (včetně MS SQL Serveru). Zneužití má podobu speciálního prvku ActiveX. Z tohoto důvodu – ačkoliv samotná chyba není v browseru – by uživatelé jiných prohlížečů než Internet Exploreru ohroženi být neměli.

Kritickou povahu má chyba ve Windows XP SP3, Vista a Windows 7. Serverové verze jsou sice zranitelné rovněž, zde ale dává Microsoft problému nižší známku závažnosti. V Exploitability indexu Microsoft předpokládá, že funkční útoky proti zranitelnosti MS11-002 se objeví pravděpodobně do měsíce.

Oprava MS11-001 je určena pouze pro Windows Vista. Vztahuje se ke Správci zálohování a spadá do kategorie chyb s nedostatečně specifikovanou cestou k DLL knihovně, která útočníkovi umožňuje podvrhnout knihovnu falešnou. (Viz také: Microsoft se snaží blokovat exploity pomocí souborů DLL) Microsoft se přitom loni v prosinci vyjádřil ve smyslu, že v jeho softwaru by se již tento problém vyskytovat neměl.

 

ICTS24

Záplaty se ovšem netýkají již známých dalších zranitelností, jak v operačním systému (Microsoft zítra neopraví zero day chybu ve Windows), tak i v Internet Exploreru (Microsoft potvrdil kritickou chybu v Internet Exploreru).